Просмотр оповещений в Microsoft Defender для конечной точки

  • Статья

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Страница оповещений в Microsoft Defender для конечной точки предоставляет полный контекст оповещения, объединяя сигналы атаки и оповещения, связанные с выбранным оповещением, для создания подробной истории оповещений.

Быстрое рассмотрение, исследование и принятие эффективных мер по оповещениям, влияющим на вашу организацию. Узнайте, почему они были активированы, и их влияние из одного расположения. Дополнительные сведения см. в этом обзоре.

Начало работы с оповещением

Если выбрать имя оповещения в Defender для конечной точки, вы окажетесь на странице оповещения. На странице оповещения вся информация будет отображаться в контексте выбранного оповещения. Каждая страница оповещения состоит из 4 разделов:

  1. В заголовке оповещения отображается имя оповещения, чтобы напомнить, какое оповещение начало текущее исследование, независимо от того, что вы выбрали на странице.
  2. Затронутые ресурсы содержат карточки устройств и пользователей, затронутых этим оповещением, которые можно щелкнуть для получения дополнительных сведений и действий.
  3. В истории оповещений отображаются все сущности, связанные с оповещением, связанные между собой представлением дерева. Оповещение в заголовке будет находиться в фокусе, когда вы впервые приземлитесь на страницу выбранного оповещения. Сущности в истории оповещений можно развертывать и щелкать, чтобы предоставить дополнительные сведения и ускорить реагирование, позволяя выполнять действия прямо в контексте страницы оповещения. Используйте историю оповещений, чтобы начать исследование. Узнайте, как это описано в статье Изучение оповещений в Microsoft Defender для конечной точки.
  4. В области сведений сначала будут отображаться сведения о выбранном оповещении с подробными сведениями и действиями, связанными с этим оповещением. Если выбрать какие-либо затронутые ресурсы или сущности в истории оповещений, область сведений изменится, чтобы предоставить контекстные сведения и действия для выбранного объекта.

Обратите внимание на состояние обнаружения оповещения.

  • Запрещено: попытка подозрительного действия не была выполнена. Например, файл не был записан на диск или не был выполнен.

    Страница, показывающая предотвращение угрозы

  • Заблокировано. Подозрительное поведение было выполнено, а затем заблокировано. Например, процесс был выполнен, но из-за того, что он впоследствии проявлял подозрительное поведение, процесс был завершен.

    Страница блокировки угрозы

  • Обнаружено: атака была обнаружена и, возможно, по-прежнему активна.

    Страница обнаружения угрозы

Затем вы также можете просмотреть сведения об автоматическом исследовании в области сведений об оповещении, чтобы узнать, какие действия уже были выполнены, а также прочитать описание рекомендуемых действий в оповещении.

Область сведений с выделенными разделами описания оповещений и автоматического исследования

Другие сведения, доступные в области сведений при открытии оповещения, включают методы MITRE, источник и дополнительные контекстные сведения.

Примечание.

Если отображается состояние оповещения о типе неподдерживаемых оповещений , это означает, что возможности автоматического исследования не могут получить это оповещение для выполнения автоматического исследования. Однако эти оповещения можно исследовать вручную.

Проверка затронутых ресурсов

Выбор устройства или пользователя карта в разделах затронутых ресурсов переключится на сведения об устройстве или пользователе в области сведений.

  • Для устройств в области сведений будут отображаться сведения о самом устройстве, такие как домен, операционная система и IP-адрес. Также доступны активные оповещения и пользователи, вошедший в систему на этом устройстве. Вы можете выполнить немедленные действия, изолировав устройство, ограничив выполнение приложений или выполнив антивирусную проверку. Кроме того, можно собрать пакет исследования, инициировать автоматическое исследование или перейти на страницу устройства, чтобы изучить с точки зрения устройства.

    Область сведений при выборе устройства

  • Для пользователей в области сведений будут отображаться подробные сведения о пользователе, такие как имя SAM и идентификатор безопасности пользователя, а также типы входа, выполняемые этим пользователем, а также все связанные с ним оповещения и инциденты. Вы можете выбрать Открыть страницу пользователя , чтобы продолжить исследование с точки зрения этого пользователя.

    Область сведений при выборе пользователя

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.